Fantomoldallal loptak el 590 milliót az OTP netbankján keresztül

 ( toMpEr | 2018. szeptember 1., szombat - 20:53 )

> A miskolci cég számlájáról hatmillió forintot utalt el egy netbanki csalómaffia belföldi magánszámlára. A cég feljelentése nyomán „egy kis hegyi faluban élő” K. Gy.-né számláján tisztázatlan eredetű 590 millió forint nyomait találták meg a rendőrök. A számláról a hatóságnak mindössze négymillió forintot sikerült zárolnia, 586 milliót már továbbutaltak, vélhetően a Távol-Keletre. Az asszony nem adott magyarázatot a pénzmozgásra. A nyomozás ismeretlen tettes ellen indult, gyanúsított egyelőre nincs.

https://index.hu/belfold/2018/09/01/fantomoldallal_loptak_el_590_milliot_az_otp_netbankjabol/

Bár valószínű ennél jóval egyszerűbb módszerrel dolgoztak, de mégis:
- https://otpbank.hu/ - NET::ERR_CERT_COMMON_NAME_INVALID
- https://hstspreload.org/?domain=otpbank.hu - Error: No HSTS header, Error: Invalid Certificate Chain
- https://piwikpro.otpbank.hu/ - Welcome to PiwikPRO installation!
- https://vpn.otpbank.hu/+CSCOE+/logon.html#form_title_text
- https://remote.otpbank.hu/ - Windows Server 2012

Kérdések amik felmerültek bennem:
- Nem volt SMS-es megerősítés belépéskor/átutaláskor?
- Akkor most ezt az 590 milliót az ügyfelek bukták vagy a bank kisegíti őket?
- A rendszerben az semmi warningot nem ad, simán végrehajtódik, hogy egy magánszemély számláján megjelenik 590 millió, amit aztán átutalnak külföldre?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Én nem vettem észre semmit ebből a számlámon... Szerencsére.

Kolompár?

--
robyboy

Rövid a cikk - ami kimaradt a kérdéskörből:

A netbankos csalók korábban egy bank nevében, eredetinek látszó e-mailben kérték a felhasználók adatait, így a PIN-kódot is adategyeztetés címén. Új módszerükkel a cég internetes bankolásakor a csalók a pénzintézet eredeti honlapjával szinte teljesen azonos „függönyoldalt” küldtek a társaság munkatársának számítógépére.

- Ki az, aki így adategyeztet?
- Ha valaki rendszeresen netbankol és nem ismeri a könyvjelzőt, az így jár.

Tehát Józsi nem ismerte a közlekedési táblákat, valamint nem tudta mire való az autóban a kormány. Nekiment egy fának, amit nyilvánvalóan Soros egyik ügynöke ültetett sebtében az autója elé. A nyomozás ismeretlen tettes ellen indult, gyanúsított egyelőre nincs.

Ez miért hír?

+1, a konyvjelzo manapsag sajna mar nem divat.
____________________
echo crash > /dev/kmem

Mindenkit be lehet csapni, persze van akit konnyebb.

--
NetBSD - Simplicity is prerequisite for reliability

- A könyvjelző ebben az esetben hogy segített volna? Ha kézzel pötyögte volna be, hogy otpbank.hu akkor se jutott volna a "fantomoldalra".
- Józsinak mutattak egy eredetivel megegyező, de rosszindulatú közlekedési táblát, aminek az eredetét nem vizsgálta meg eléggé és nekiment a fának.

az első kérdés aminek fel kellett volna merülnie, hogy agy cég pénzügyekkel is? foglalkozó alkalmazottja, akinek gondolom aláírási joga is lehet beugrik egy "banki egyeztető" e-mailnek?

össze kell kötni a 'naiv' kósával aki a csengeri asszony 1300 milliárdját akarta megcsapolni :))

Én a szüleim korosztályán (60+) azt látom, hogy ugyan nagyjából auto didakta módon sikerült elsajátitaniuk a számítógépe használatot, de fel sem merül bennük, hogy ez a modernek látszó technológia egyáltalán lehetővé teszi, hogy létrehozzanak egy fantomoldalt és azon keresztül pénzt vegyenek le a számlájáról.

És valahol ebben is van igazság, ha legalább olyan komolyan vennék a bankok az IT security-t, mint, azt, hogy minél egyszerűbben és gyorsabban, lehetőleg átgondolás nélkül igénybe vegyék a szolgáltatásukat, akkor ez lényegesen bonyolultabb lenne.

+1 Engem felhivott CIB es az adataim es telefonos kodom X-edik karaktere utan erdeklodott, mert kulonben nem beszelhetnek velem. Azt hittem csalas, elkuldtem a francba a hivot es felhivtam CIB-et mielott jelentem a rendorsegen. Kiderult tenyleg ok hivtak es ez naluk igy szokas. Megmondtam nekik hogy ezek utan ne csodalkozzanak, ha csalok ki tudjak csalni az ugyfelek penzet, ha ekkora marhak. Tovabba ha meg egy ilyen hivast kapok, akkor megvalok toluk. Azota se hivtak.

Ezt a marhaságot sajnos több bank is csinálja, hogy 100 éve az ügyfelük vagy és csak itt csak most csak neked van egy különlegesen fasza ajánlatuk (értsd: random bankhoz az utcáról beesve jobbat kapsz). De ugye csak neked, szóval be kell hogy azonosítsanak ahhoz hogy elmondják a részleteket. Szóval kérdezik hogy mi a születési hely/idő/anyám neve, de általában csak az apám faszáig szoktunk eljutni.

Ha én lennék az mnb az ilyet szarrábüntetném, és szerintem a péterfalvihatóságnak is kéne.

ha legalább olyan komolyan vennék a bankok az IT security-t

Komolyan veszik azok, mindaddig, amíg a "user" nem tud elszaladni: a belső felhasználóikat ott szopatják, ahol tudják. Az ügyfél azonban el tud szaladni, így vele már annyira nem szoktak keménykedni - kivéve, ha valami jogi szabályozás ezt kötelezővé teszi nekik (lásd a netbank authentikációjának fejlődését).

+1
gondolom "bent" minden elbaltázott rendszerükhöz külön jelszó van, 3 havonta kell őket megváltoztatgatni, 5 különféle karakterosztályból. Közbem meg kívülről egy közepes hekker simán felnyomja akár a netbankjukat is. Teljesen el tudom hinni h. így megy náluk (is!).
--

https://www.mnb.hu/letoltes/a-magyar-nemzeti-bank-15-2015-szamu-ajanlasa-az-interneten-keresztul-nyujtott-penzugyi-szolgaltatasok-biztonsagarol.pdf

Tudomásom szerint a bankoknak így kellene eljárniuk.

De "vannak egyenlők és egyenlőbbek."

Sajnos az hogy a második faktor pl. SMS az ügyfél mobiljára sem nyújt teljes biztonságot.

Megtörtént eset, hogy megszerezték az ügyfél mobilszámát, és telefonon! letiltatták a SIM kártyát. A mobil szolgáltató pedig kipostázta az újat egy teljesen más címre.
Az ügyfél ebből első körben csak annyit érzékelt hogy nem működik a mobilja.
Azután megnézte az egyenlegét...

Ezek szerint a posta gyorsabb volt, mint a telefonos ügyfélszolgálat.
Vagy fillentesz, vagy az ügyfél volt béna. ;)

Ez melyik mobilszolgáltatónál fordult elő? Egyáltalán, magyar szolgáltató volt? Mert az, hogy a piréz szolgáltató, azonosítás nélkül letilt egy SIM kártyát, és a telefonon bediktált új címre küldi ki az új kártyát, nem különösebben fogja izgatni a magyar bankok ügyfeleit. Kivéve azt az esetet, amikor egy magyar bank piréz ügyfeléről van szó.

Arra pedig már bucko is utalt, hogy a károsult biztosan nem egy kapkodó idegbeteg.

> Ez melyik mobilszolgáltatónál fordult elő?

In February, T-Mobile sent a mass text warning customers of an “industry-wide” threat. Criminals, the company said, are increasingly utilizing a technique called “port out scam” to target and steal people’s phone numbers. The scam, also known as SIM swapping or SIM hijacking, is simple but tremendously effective.

First, criminals call a cell phone carrier’s tech support number pretending to be their target. They explain to the company’s employee that they “lost” their SIM card, requesting their phone number be transferred, or ported, to a new SIM card that the hackers themselves already own. With a bit of social engineering—perhaps by providing the victim’s Social Security Number or home address (which is often available from one of the many data breaches that have happened in the last few years)—the criminals convince the employee that they really are who they claim to be, at which point the employee ports the phone number to the new SIM card.

Eric Taylor, a hacker formerly known as CosmoTheGod, used this technique for some of his most famous exploits, like the time he hacked into the email account of CloudFlare’s CEO in 2012. Taylor, who now works at security firm Path Network, told me that having a phone number linked to any of your online accounts makes you “vulnerable to basically 13- to 16-year-old kids taking over your accounts just by taking over your phone within five minutes of calling your fucking provider.”

In August of last year, for example, hackers hijacked the Instagram account of Selena Gomez and posted nude photos of Justin Bieber. According to hackers in OGUSERS, the people claiming to be behind the Gomez hack said they did so by taking over the cell phone number associated with the singer-actress’s Instagram account, which had 125 million followers when it was seized.

Thug and Ace explained that many hackers now recruit customer support or store employees who work at T-Mobile and other carriers and bribe them $80 or $100 to perform a SIM swap on their target.

via

More:
- T-Mobile Employee Made Unauthorized ‘SIM Swap’ to Steal Instagram Account
- Cryptocurrency Entrepreneur and Investor Michael Terpin Sues “Too Big to Care” AT&T for Permitting $23.8 Million Theft in “SIM Swap” Scam by Authorized Agent

requesting their phone number be transferred, or ported, to a new SIM card that the hackers themselves already own.

Ez itthon ebben a formában nem működik, mivel nálunk a szolgáltató adja a SIM kártyát a szolgáltatáshoz.

Lásd dap hozzászólását: "Kb 1 éve voltam benn a Telenornál, számhordozás magyarországon, flottából meglévő feltöltős kártyára: elég volt egy nyilatkozat, miszerint a flotta lemond a számról a nevemre és 30 perc múlva már teljesen máshol csörgött a szám."

valamint, pl.:
https://www.vodafone.hu/szolgaltatasok/szamhordozas#instant-sim
A Vodafone Instant SIM egy olyan SIM kártya, amit személyes ügyintézés és helyszíni szerződéskötés nélkül tudsz megvásárolni például egyes hipermarketekben, újságárusnál, stb.
- Aktiváld az Instant SIM kártyát
- Igényeld a számhordozást online
- Napokon belül élvezheted a Vodafone nyújtotta előnyöket, régi számoddal

Kivéve, amikor a régi számodat akarod megtartani.

Akkor jön a portolás, amikor a már a kezedben levő SIM kártyához rendelik hozzá a korábbi számodat.

(toMpEr-nek is)

Tehát akkor nem tudunk ilyen magyar esetről?

a magyarok nem olyan közlékenyek, nem olyan nyitottak, mint ahogy kellene..

vagyis tudni nem tudunk, de ez nem jelent semmit..

Kb 1 éve voltam benn a Telenornál, számhordozás magyarországon, flottából meglévő feltöltős kártyára: elég volt egy nyilatkozat, miszerint a flotta lemond a számról a nevemre és 30 perc múlva már teljesen máshol csörgött a szám. A nyilatkozaton mindössze egy név és aláírás volt ami hitelesítette, amit egyébként korábban már elárult a szolgáltató amikor roaming csomagot akartam venni (név szerint megmondták, hogy kivel tudom elintéztetni, mert jogosult eljárni a számmal kapcsolatban).

Az aláírást lehet összevetették egy mintával, de még így sem nehéz megugrani egy szám átirányítását pár órácskára.

"https://otpbank.hu/ - NET::ERR_CERT_COMMON_NAME_INVALID"

Azért ne túlozzunk, ehhez kézzel kell https-t beirni és www nélkül kérni a domain-t. Nem túl életszerű. (http-ről, ahogy a userek 99%-a beirja van redirect https-re, www-vel és anélkül is)
A maradék 1% user, meg keresőből kattint rá, szintén nem ezzel az url-el.

"https://hstspreload.org/?domain=otpbank.hu - Error: No HSTS header, Error: Invalid Certificate Chain"

Lásd előző.

"https://piwikpro.otpbank.hu/ - Welcome to PiwikPRO installation!"

? (ezzel lehet feltörni az otp-t? vagy pénzt lopni?)

"https://vpn.otpbank.hu/+CSCOE+/logon.html#form_title_text"

?

"https://remote.otpbank.hu/ - Windows Server 2012"

2012 R2, egy teljesen támogatott oprendszer. Azaz: ?

A valódi kérdés az az, hogy miért nem volt 2FA a usernél akitől lopták a pénzt? Normál esetben hiába csinál egy kamu oldalt, hiába veszi rá a balga usert, hogy oda irja be az azonositóját, számlaszámát, jelszavát, sms-ben vagy smartbank esetén mobillal QR kóddal kell jóváhagyni, nemhogy az utalást, de még a bejelentkezést is. Sokmilliós számlához nem használ a user 2FA-t? Na az a meredek, nem az, hogy www nélküli domain is szerepel-e a cert-ben.

> Azért ne túlozzunk, ehhez kézzel kell https-t beirni és www nélkül kérni a domain-t.

A HSTS hiánya pont azok számára gáz, akik https nélkül írják be az otpbank.hu -t, mivel az ebben az esetben http-n csatlakozik. Tehát ha pl. valaki hozzáfér a routeredhez vagy egy publikus routerhez, akkor gyakorlatilag bármilyen tartalmat ki tud szolgálni az otpbank.hu domainról. (legutóbb pár hónapja a VPNFilter nevű malware tette ezt 500.000+ eszközzel, bár az otpbank.hu nem volt a célponjuk, de lehetett volna)

> ? (ezzel lehet feltörni az otp-t? vagy pénzt lopni?)

A piwik egy statisztikai rendszer, tehát van rá esély, hogy hozzáfér az otpbank teljes adatforgalmához és azt módosítani is tudja. Az hogy telepítő üzemmódban van különösen veszélyessé teszi, mert ilyenkor általában a php fájlokba ír közvetlenül, tehát távoli kód futtatásra is alkalmas lehet.

> 2012 R2, egy teljesen támogatott oprendszer. Azaz: ?

Azaz egy újabb támadási felület. Amennyiben nincsenek napi szinten frissítve ezek a végpontok, akkor elég esélyes, hogy be lehet jutni rajtuk keresztül a hálózatba. De ha frissítve is vannak, akkor is célpont lehet pishing esetén. Pl.: kiküldeni az összes otpbankos emailre egy VPN jelszóváltoztatási formot, amibe lehet rakni egy jelenlegi jelszó mezőt. Szinte biztos vagyok benne, hogy lesz olyan aki visszaküldi. De ez csak egy lehetőség, ennél jóval szofisztikáltabb social engineering módszerek vannak már.

Ezeket a példákat inkább csak azért írtam, mert ezek arra utaló jelek, hogy a bank nem tesz mindent a biztonságos üzemelés érdekében.
Önmagukban _valószínű_ nem teszik lehetővé a bankszámlákhoz való hozzáférést, de én nem aludnék nyugodtan, ha ilyenek lógnának publikusan, bárki számára elérhető módon a szerveremen, pedig én nem üzemeltetek rajta online bankot.

Ennel komolyabbak is lognak erre arra.

Amikor egy sok sok ezer milliard dollaros gyogyszergyarto/fejleszto ceg egesz veletlen valahogy megoldja, hogy a sok milliardos uj gyogyszer fejlesztesi projektjuk siman google keresessel letoltheto, akkor mit varunk egy pitianer otp meretu cegtol ?

A zemberek meg hulyek, de ez nem ujdonsag.

A tudattalan júzernek elé a brózer "támogatása". Mióta a címet és a keresést összemosták, már semmi sem biztos.

OK, HSTS emel valamennyit a biztonságon, ez legyen 1 hiányosság.

Ettől még a cert-ből hiányzó www nélküli domainen fennakadni továbbra is értelmetlen volt.

"A piwik egy statisztikai rendszer, tehát van rá esély, hogy hozzáfér az otpbank teljes adatforgalmához és azt módosítani is tudja."

Ez remélem komoly, mert viccnek durva volna :)

"Azaz egy újabb támadási felület. Amennyiben nincsenek napi szinten frissítve ezek a végpontok"

Hát, igy nulla információ nélkül, nekem ez megint csak hadakozásnak tűnik. Az, hogy egy 2012 R2-es szerveren RDP-t, webapp-okat szolgáltatnak (lista szerint 2FA mellett) én azon nem kezdenék el aggódni.

"kiküldeni az összes otpbankos emailre egy VPN jelszóváltoztatási formot, amibe lehet rakni egy jelenlegi jelszó mezőt."

Amivel pont semmire nem mennek 2FA esetén. De az is lehet, hogy certificate alapon is hitelesitenek.

> Ez remélem komoly, mert viccnek durva volna :)

A piwik egy javascriptet injektál be minden oldalba. Innentől kezdve azt csinál amit akar, még a jelszót sem kell lementenie, elég ha az utaláskor kicseréli a célszemély számlaszámát. Ez esetben a 2fa sem segít.

> Amivel pont semmire nem mennek 2FA esetén. De az is lehet, hogy certificate alapon is hitelesitenek.

Lehet, hogy van 2FA vagy cert hitelesítés, de akkor is biztonsági kockázat ilyesmit publikusan hagyni, mert a hibák kihasználásához nem minden esetben kell tudni bármilyen jelszót. Pl. Cisco eszközöket érintő hibák az elmúlt pár hónapból:

CSCvi09394 - A vulnerability in the API gateway of the Cisco Digital Network Architecture (DNA) Center could allow an unauthenticated, remote attacker to bypass authentication and access critical services.

CSCvh98929 - The vulnerability is due to the presence of undocumented, static user credentials for the default administrative account for the affected software. An attacker could exploit this vulnerability by using the account to log in to an affected system. A successful exploit could allow the attacker to log in to the affected system and execute arbitrary commands with root privileges.

CSCvi02448 - A vulnerability in the web-based management interface of Cisco IoT Field Network Director (IoT-FND) could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack and alter the data of existing users and groups on an affected device.

CSCve31857 - A vulnerability in the Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) certificate validation during EAP authentication for the Cisco Identity Services Engine (ISE) could allow an unauthenticated, remote attacker to cause the ISE application server to restart unexpectedly, causing a denial of service (DoS) condition on an affected system.

CSCve79693, CSCvf91393, CSCvg64656, CSCvh30725, CSCvi86363 - A vulnerability in the Real-Time Transport Protocol (RTP) bitstream processing of the Cisco Meeting Server could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition.

"A piwik egy javascriptet injektál be minden oldalba."

De te tudod, hogy a piwikpro.otpbank.hu -s install van odakötve a webbankkos oldalakhoz? Ennyi erővel ezer másik js framework is van bármelyik webbank oldalban. És? Remélhetőleg a webbank kódját megfelelően védik és nem tudja idegen manipulálni. (nyilván auditálják egy ekkora banknál időről-időre)

"Ez esetben a 2fa sem segít."

Ezzel is vitatkozhatnék, mert ha egy js kicseréli a célszámlát, akkor a 2fa visszaigazolásban már az fog szerepelni, azaz láthatja a user, hogy eltéritik az utalását.

" de akkor is biztonsági kockázat ilyesmit publikusan hagyni"

Mit is hagytak publikusan? Fogalmunk sincs. Egy windows 2012 R2 szervert. Ami csinál ... valamit. Lehet, hogy egy szeparált hálózaton egy lényegtelen valamit, vagy éppen egy honeypot. De te zéró információ birtokában már levonod a következtetést, hogy úristen micsoda veszélyben van mindenki pénze az otp-nél. Én csak ez utóbbira akartam rávilágitani.

"ha egy js kicseréli a célszámlát, akkor a 2fa visszaigazolásban már az fog szerepelni, azaz láthatja a user, hogy eltéritik az utalását"
Hány átutalási „célpontod” számlaszámát tudod fejből?

Miért kéne egyetlen számlaszámot is fejből tudnom? Kapok 2FA-n egy értesítést, hogy tényleg el akarok-e küldeni xy számlaszámra z összeget. Rápillantok az eredeti papiromra ami alapján utalok és megnézem mondjuk az utolsó 3 számjegyet. Nagyobb összeg esetén meg 4x végigolvasom :)

> De te tudod, hogy a piwikpro.otpbank.hu -s install van odakötve a webbankkos oldalakhoz?
> Mit is hagytak publikusan?

Most teszteltem, belépés után a "https://www.otpbankdirekt.hu/homebank/do/bankszamla/bankszamlaMuvelet" oldal betölti a "https://piwikpro.otpbank.hu/piwik.js" fájlt, de szerintem enélkül is gáz lenne, ha valaki hozzáférne egy otpbank.hu-s domain-hez.

> De te zéró információ birtokában már levonod a következtetést, hogy úristen micsoda veszélyben van mindenki pénze az otp-nél.

Szerintem ezek pont hogy nem 0 információk. Sehol nem mondtam, hogy "úristen micsoda veszélyben van mindenki pénze az otp-nél" (ahhoz tovább kéne menni ezeknél a kiindulási pontoknál), hanem hogy ezek arra utaló jelek, hogy a bank nem tesz mindent a biztonságos üzemelés érdekében.

De, ezek pont zéró információk. Pl megláttál - rosszul - egy W2012 -es szerver login képernyőt és felvetted a nagy bajok listájára. Fogalmad sincs mire jó, fogalmad sincs milyen hálózaton van, de még azt sem tudhatod, hogy nem-e honeypot. (ez több elemre is igaz a listádból)

> Fogalmad sincs mire jó, fogalmad sincs milyen hálózaton van, de még azt sem tudhatod, hogy nem-e honeypot.

Ezeket nem tudom megmondani anélkül, hogy valóban bepróbálkoznék, de ezt szerintem érthető okok miatt nem akarom megtenni.
Valahogy nehezen tudom elképzelni, hogy egy olyan bank aki lehetőséget ad MITM-re (HSTS hiánya miatt) piwik installnak kinéző honeypotot fog felkínálni.

Bár minden kommentembe jeleztem, de mivel még mindig olyan dolgokat képzelsz bele amiket nem írtam: nem "nagy bajok listáját" vezettem, hanem csak felsoroltam jeleket ami arra utalnak, hogy a bank nem tesz meg mindent a biztonságos üzemelés érdekében.


De te tudod, hogy a piwikpro.otpbank.hu -s install van odakötve a webbankkos oldalakhoz?

Úgy néz ki. A webbankos oldalról:


<script type="text/javascript">
var piwikTrackerJSON = {"enabled":"true","trackerURL":"https://piwikpro.otpbank.hu/","haz":"xxxxxx","gwbId":"xxxx","domains":["*.otpbankdirekt.hu","*.otpbank.hu"]};
</script>

<script type="text/javascript" src="/homebank/js/classes/piwiktracker-20180823135155.js"></script>

> Fogalmunk sincs.
Neki nincs fogalma róla, úgy, ahogy neked sem. Ő a legrosszabbat feltételezi, míg te a legjobbat. A lényegi különbség akkor mutatkozik meg, ha tévedtek.
Talán ismered a közmondást, jobb félni, mint megijedni.

Én nem a legjobbat feltételezem, hanem rámutattam, hogy a listájának nagy részének nincs értelme, mert nincs valós információ róluk, hogy mire is szolgálnak, hogyan vannak konfigurálva, üzemeltetve. Önmagukban pedig semmit nem jelentenek.

"Talán ismered a közmondást, jobb félni, mint megijedni."

Ennek semmi akadálya, akkor féljél, vagy használj másik bankot, ahol nagyobb biztonságban lesz a pénzed. (haha)

Nem olyan bonyolult megoldani a www nélküli EV tanúsítványt. Csak otp-nél vagy balfaxok ülnek vagy fillérbaxók, vagy mindkettő.
Egyrészt nálunk pl van asszem valami 8 vagy 10 hely, slot arra, hogy felvegyük a domaineket EV-be, tehát simán több is belefér.
Másrészt ha nem akarja a www nélkülit EV-be "pazarolni", akkor még mindig vehet egy wildcard-osat ami valszeg nem is árt egy fődomainhez. Akkor pedig már simán zöld le a www nélküli is.

Átirányítani lehet, sőt kell is, de ha nem valid az ssl, akkor nem tudsz átirányítani se webszerverből, se script-ből. (ezt már lehet más írta, de ide reagáltam)

Szóval, otp, nem csalódtam :)

Ki mondta, hogy bonyolult megoldani? Azt mondtam, a userek 99%-át nem érinti a probléma.

Melyik átirányitás nem működik? Próbáld már ki, mielőtt irsz róla.

Ha az otp.hu domain alatt nem megfelelő a tanúsítvány, tehát piros a böngésző sávja, akkor az átirányítás nem fog működni. Mármint addig a pontig nem, amíg a user el nem fogadja azaz kivételt ad hozzá.
De ugyebár ezt nem várhatjuk el egy banki oldalnál az ügyféltől.

De érted, hogy ahhoz, hogy ez megtörténjen, a usernek kézzel be kell gépeljen egy https:// -t majd egy www nélküli otpbank.hu -t? Nem túl életszerű. A user nem gépel https:// -t. Vagy rákeres böngészőben és ott már www-t kap, vagy csak annyit ir, hogy otpbank.hu vagy www.otpbank.hu és mindegyiknél tökéletesen működik a redirect.

Elmagyaráznád? Én mindig kézzel írom be a bankjaim (szerintem használt) címét. Fenti példádnál maradva, ezt: https://otpbank.hu/ - ezek szerint vagy nem vagyok júzer, vagy nem tudom mi van. De (még) létezem.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

https://hup.hu/node/160650#comment-2261907

Nem jellemző, hogy valaki végigirja a protokoll-t, majd www nélkül a honlap nevét. A userek 99%-ban nem irnak protokollt. Vagy linket használnak pl. keresőből, ami www-re mutat (és eleve https).

Tehát az általad használt módon kívül, mindenhogy máshogy működik, vagy az ártirányitás vagy a valid certificate. De, ha neked ez igy kényelmes, akkor igy jártál, de ez nem sok usert érint.

Ez egyszerűen presztízs kérdés (is).
Ugyanúgy ahogy banknál illik az EV a sima zöldike helyett.

Ne keverd össze a 2FA-t, az SMS alapú 2FA-val.

Egyébként, amikor az OTP küld egy SMS-t, abba bele van írva, hogy bejelentkezés vagy átutalás történik?

Én már évek óta QR kódot használok, de emlékeim szerint 99%, hogy benne volt, talán még az összeg is.

Igen, benne van.

Kaptam ilyen becsapós e-mail-t. Főnökömnek megmutattam (nem informatikus). Simán benyalta volna. Ahogy a kollégáim is. Rákattintol a linkre, simán az OTP-hez hasonló oldal jön be. Címsorban vagy miben, látszik hogy nem otp.hu a cím, de egy mezei user ugyan nézi? Helyi hálózatban kollégámnál csináltam Middle of the Man-t, fel se tűnt neki a vörös felkiáltójel a címsorban.

"Helyi hálózatban kollégámnál csináltam Middle of the Man-t"

Man in the middle (MITM) lesz az, de amúgy világos mi lett az eredmény.
--

levélben lévő linkre ugye soha nem kattintunk rá (v legalábbis ellenőrizzük, hogy a link és a tartalom egyezik-e, de inkább copy-paste a linkre) :-)

+1

Vagy leginkább elővesszük saját bookmarkból/belső website-ról/begépeljük a domain nevet.

Ezzel teljesen egyetértek, de elég jelentős számú júzer telefonon vagy tableten intéz lassan egyre több mindent, ahol még nehezebb erre szoktatni őket (mert még kényelmetlenebb a c'n'p).

Tovább megyek. A felhasználók az olyan trivialitásokat sem jegyzik meg (megérteni megértik - a magyarázat percében), hogy az azért elég logikátlan lenne, ha egy magyar bank a magyar ügyfelének "invoice error" tárgyú levelet küldene; vagy épp azt, hogy ha a büdös életben nem volt kapcsolatban a Gránit Bankkal, akkor a Gránit Bank feladótól jövő e-mail őt nem kell hogy érdekelje, és kb 110% valószínűsége van annak, hogy csaló levél - következésképpen totál olvasás nélkül törölje a picsába. Rendszeresen szoktam mutogatni, hogy egy hét alatt hányféle magyar banktól kapok ilyen levelet - jó pár hónap után is van, aki ennek ellenére naívan elhiszi, hogy az Ő ilyen levele ennek ellenére valós. És akkor tegyük hozzá, hogy hány embernek nincs olyan informatikus ismerőse, aki napi, heti, havi rendszerességgel vezeti a kezét és tanítja az ilyesmire.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

egyik volt ugyfelunknel az igazgato egy tobb doktorival rendelkezo, idegennyelveket is beszelo, nemzetkozileg elismert szakember volt. 1 ev alatt 3x dolt be jelsoz lopo phishing levelnek. mikor megkerdeztem hogy wtf, azt mondta: "nezze, nekem naponta 200 level erkezik, nincs idom az eredetiseguket ellenorizni, amit kernek megcsinalom".
nagy volt a kisertes, hogy kuldjek neki egy "ugorj a kutba" targyu levelet...

ahelyett, hogy egy nagyobb számlát küldtél volna neki :-)

titkárnő már smafu? V. az csak optikai tuningnak van a diri úrnak?
--

a titkarno nem beszel nyelveket, ami level nem magyarul van azt rogton torli, mert biztos spam. majdnem elestek egy par millio $-os amerikai tamogatastol emiatt... (optikai tuningnak nem neveznem, annal oregebb :))

- az nem menti fel, hogy gondolgozzon - DE beszóltam volna neki

nekem naponta 200 level erkezik

Szerintem ezen a ponton már elbaszta, innen szép a győzelem... Nem lehet naponta 200 levelet érdemben kezelni.

Úgy tudom hogy van valami átlagember-szívató törvény a gyanús pénzmozgások ellen, nem.?
Vagy csak 6.000.001 forint feletti összegekre érvényes.?
Lesz még ott más érdekesség is majd szerintem..
Mindenesetre örülök hogy a megfelelő eNberek kezében van a pénzem.
--
God bless you, Captain Hindsight..

Ugyan...

Siman lehet utalgatni milliokat (a napi limited hatarozza meg mit tudsz csinalni)

azert 590 misit utalni nem hiszem hogy siman engednek, nekem 10-et se engedett a bank (igaz nem otp).

Szerintem ez nem egy összegben történhetett. Csak mikorra észrevették, lett annyi.. (Persze ezt az infót jobb megtartani belsőként.)

Kérdés mennyire rendkívüli ez ennél a számlánál...

https://www.youtube.com/watch?v=2xO5OgwljMs

"Disconnect" (magyar nyelvű teljes film)

Kötelezővé tenném mindenkinek a megtekintését, mielőtt valaki számítógépet bankoláshoz, "chat"-eléshez használna..

Jó film!

Én is első olvasásra furcsállom a hírt.

Egy fantom oldal még kevés nagyon az utaláshoz. Hiába ismerem a belépési adatokat, attól még nem tudok belépni, mivel SMS vagy QR-kell a belépéshez. "Idegen" számlára pedig szintén nem tudok utalni, szintén SMS vagy QR nélkül. Tehát itt valami több lehetett, itt még valaki benne van a buliban... Arról nem beszélve, hogy több ezer alkalmazottat számláló OTP-ben nincs 3-4 ember, akinek az lenne a dolga, hogy ha rendkívüli tranzakciók lennének, akkor esetleg felhívják az ügyfelet, hogy tényleg, Ő indította az utalást vagy mi lehet????. Nem tudom, hogy 590.000 millió forintból hány embert lehetne foglalkoztatni 10 éven át.....
Amit látok, ezek, akkor balfaszok, hogy csak na, de sajnos más bank is, ugyan ez......

Attól tartok, hogy mostanában a NER miatt a rendkívüli pénzmozgások már teljesen általánossá váltak. Ha egy ilyen pénzmozgás fel is tűnik egy banki alkalmazottnak, szerintem inkább igyekszik minél gyorsabban elfelejteni, a saját egészsége érdekében...

De, eleg.
Lattam olyan fantom oldalt ahol bekerte a hitelesitesi adataid, a hatterben kuldte a bank fele, majd atiranyitott az SMS kodos formra, ahol bekerte azt is. TADAAAAM. Megvan minden infoja a belepeshez. :)